Comment activer et configurer le protocole DNSSEC sur Cloudflare et chez son registrar ?

DNSSEC existe depuis 1999 mais a toujours eu une réputation de complexité et d’opération risquée. Depuis les années 2015, les protocoles se sont standardisés et une implémentation généralisée a commencé à se mettre en place. DNSSEC est devenu aujourd’hui « relativement » facile à activer pour un domaine et une opération avec des risques limités.

Rappelons le protocole DNSSEC protège contre les réponses DNS falsifiées. Les zones protégées par DNSSEC sont signées par chiffrement afin de garantir que les enregistrements DNS reçus sont identiques à ceux publiés par le propriétaire du domaine. L’ICANN encourage fortement l’implémentation du protocole DNSSEC et demande aux registrars de prendre en charge le DNSSEC dans tous les types d’algorithmes DS disponibles. A noter qu’aujourd’hui, quelques registrars ne le supportent toujours pas.

La majorité des sites que nous infogérons sont sur Cloudflare pour des raisons de performances et de sécurité. Nous utilisons deux registrars (BookMyName et Gandi). L’avantage de l’un par rapport à l’autre ont été exposées ici : Quels sont les critères pour choisir un fournisseur de nom de domaine (registrar) ?.

De la difficulté pour configurer DNSSEC …

Autant que la 1ère étape sur Cloudflare est simple, la configuration dans l’interface du registrar peut être beaucoup plus délicate. En effet, les protocoles et les éléments demandés varient selon les spécifications du registrar. Certains registrars n’ont même rien prévu dans leur interface et demandent d’adresser un ticket au support technique.

Activation de DNSSEC sur Cloudflare pour un domaine :

Activation sur cloudflare :

L’activation sur Cloudflare est très simple. Pour cela, il faut sélectionner le domaine, aller sur le menu DNS puis cliquer sur le bouton « ACTIVER » :

Comment activer DNSSEC pour un domaine sur Cloudflare ?
Activer DNSSEC pour un domaine sur Cloudflare

Cloudflare fournit ensuite une page de sept éléments de configuration qui seront à reporter dans l’interface du domaine chez son registrar :

Génération des éléments de configuration pour le registrar
Page Cloudflare pour la configuration DNSSEC pour le registrar

Signification des enregistrements générés :

1

Enregistrement DS

Enregistrement complet que sera ajouté au domaine

2

Digest

Clef de l’enregistrement DS

3

Type Digest – 2

Niveau de cryptage (SHA256)

4

Algorithme

N° d’algorithme utilisé pour la génération de la clef. Le registrar de votre domaine doit prendre en charge l’algorithme N°13

5

Clé publique

La publique permet le chiffrement. Elle est connue de tous contrairement à la clef privée qui doit rester secrète.

6

Balise clé

Appelée  » Key Tag » en langue anglaise

7

Indicateurs

Appelés flags en langue anglaise

Activation de DNSSEC chez Gandi :

Depuis l’interface de Gandi, après avoir sélectionné le domaine, cliquer sur le menu DNSSEC, puis AJOUTER UNE CLEF :

Activation et configuration de DNSSEC chez Gandi et Cloudflare
Activer et configurer DNSSEC chez Gandi
  • Conserver le flag 257 (7),
  • Sélectionner l’algorithme 13 (normalement, c’est celui par défaut),
  • Copier et coller la clef Publique (5).
READ
Avis sur le clavier Raspberry Pi Azerty pour Windows et Linux

Le serveur de Gandi génère alors des enregistrements dans la base de registres. Il faut attendre environ une heure pour que DNSSEC soit pris en compte. Une implémentation réussie se manifeste chez Cloudflare par un message en dessous de l’option DNSSEC :

Comment vérifier que DNSSEC est bien activé ,
Vérification de l’activation de DNSSEC chez Cloudflare

Activation de DNSSEC chez BookMyName :

Depuis l’interface de BookMyName, cliquer sur l’option GÉRER, puis Configurer DNSSEC. Saisissez le nom du domaine et validez :

Activation et configuration de DNSSEC chez BookMyName et Cloudflare
Activer et configurer DNSSEC chez BookMyName
  • Copier et coller la balise clé (6) dans la zone Key Tag,
  • Sélectionner l’algorithme 13 (et non le 8 par défaut),
  • Copier et coller la zone Digest (2)
  • Pour terminer la configuration, cliquer sur le bouton AJOUTER.

En cas d’erreur de configuration, votre site web deviendra inaccessible (DNSSEC ne pardonne pas). Pour corriger, il suffit de revenir sur l’interface du registrar et de supprimer la configuration.

En conclusion, une fois maitrisée, l’ajout de l’option DNSSEC n’est pas aussi complexe et aussi risquée qu’annoncée. Mettre en place le DNSSEC est un gage de sécurité supplémentaire pour votre domaine. Il peut même vous donner des points supplémentaires auprès des moteurs de recherche et améliorer le classement de votre site web.

Quelques compléments d’information sur DNSSEC :

Pascal
Follow me

Laisser un commentaire